[Linux-Biella] [OT] cisco pix
Mattia Rossi
mattia a technologist.com
Mar 5 Giu 2007 14:40:29 CEST
On Tue, 5 Jun 2007 12:43:31 +0200
leonardo "LeOS" buffa <leos a bilug.linux.it> wrote:
>
> io ci provo magari qualcuno sa darmi una informazione in merito
>
> ho una rete, chiamiamola 10.0.0.0/24 che ha come default gw un pix
> con ip interno 10.0.0.10
>
> sulla medesima rete esiste pure un altro router, con ip 10.0.0.100
>
> la presenza di questo router (al quale non ho accesso) e' per
> garantire l'accesso a un server remoto con ip inventato
> 200.200.200.200 l'accesso a questo server avviene solo quando passo
> dal router .100, anche a questo server non ho alcun accesso quindi
> non c'e' modo di far andare le cose se non facendo passare i client
> attraverso il router. per verificare
> allora io ho fatto una rotta sul pix:
>
> route inside 200.200.200.0 255.255.255.0 10.0.0.100
>
> ipotizzando una /24 dove c'e' il server da raggiungere
>
> infatti, se dal pix pingo il server (al quale ho accesso, visto che
> per far le prove ho messo un server mio) vedo che le richieste
> arrivano correttamente passando attraverso l'altro router (fattore
> discriminante e' l'ip pubblico con i quali si presentano)
>
> facendo la stessa cosa dai client della rete pero' non vedo piu'
> nulla, acl o non acl proprio non vedo nessun risultato...
>
Il tuo problema e' probabilmente dato dal fatto che il router di cui
non hai il controllo routa i pacchetti destinati alla rete 10.0.0.0/24
direttamente sullo switch di rete, invece di passare dal tuo gateway, e
quindi i pacchetti percorrono una strada del tipo:
10.0.0.222->10.0.0.10(suo default gw)->10.0.0.100->(vpn)->router
dall'altra parte->tuo server di
test->router->VPN->10.0.0.100->10.0.0.222
Insomma, probabilmente i pacchetti saltano un passo, il risultato e'
che il pc da cui mandi si aspetta di ricevere una risposta tramite
10.0.0.10, mentre invece la riceve da 10.0.0.100 e non sa cosa
farsene ... la soluzione di solito e' quella di configurare sul router
di cui non hai il controllo una rotta per la rete 10.0.0.0/24 che passi
esclusivamente per 10.0.0.10.
In linux, insomma, sarebbe:
route del -net 10.0.0.0/24 dev eth0
route add -net 10.0.0.0/24 gw 10.0.0.10
Questo ammettendo che tu abbia gia' escluso problemi piu' banali quali
firewall rules che bloccano i pacchetti in uno dei due sensi (o
entrambi)
Ciao
Mattia
> qualcuno ha esperienza con pix e puo' darmi una mano?
>
--
---MR.-
Maggiori informazioni sulla lista
Linux